Las claves de acceso de Google ahora se pueden sincronizar entre dispositivos en diversas plataformas.

Las claves de acceso de Google ahora se pueden sincronizar entre dispositivos en diversas plataformas.

Cover Image for Cibercriminales vinculados a China atacan objetivos rusos.

Cibercriminales vinculados a China atacan objetivos rusos.

Se ha detectado malware de origen chino en "decenas" de computadoras gubernamentales en Rusia.

Al parecer, las relaciones entre China y Rusia no son tan sólidas en el ámbito cibernético, ya que se ha informado que Rusia ha detectado malware relacionado con China en dispositivos de su gobierno y proveedores de tecnología. Investigadores de ciberseguridad de Kaspersky han señalado que desde finales de julio han detectado “docenas” de computadoras infectadas en una campaña que han denominado EastWind. Según su análisis, los ejemplos del malware parecen haber sido desarrollados por dos grupos vinculados a China: APT27 y APT31.

Kaspersky informó que la primera infiltración se realizó a través de correos electrónicos de phishing. Los atacantes enviaban mensajes que contenían dos archivos adjuntos, uno legítimo y otro malicioso. El archivo perjudicial se conectaba a servicios como DropBox, GitHub, Quora, LiveJournal y Yandex.Disk, los cuales fueron utilizados como servidores de comando y control (C2) por los actores de la amenaza.

A través de estos servicios en la nube, los hackers podían instruir al malware para que descargara cargas útiles adicionales, incluida un troyano llamado GrewApacha y una puerta trasera llamada CloudSorcerer. Esta última también fue identificada en ataques contra organizaciones estadounidenses a finales de mayo de 2024. Además, CloudSorcerer se utilizó para descargar un implante nuevo conocido como PlugY, que tiene la capacidad de manipular archivos, ejecutar comandos, registrar pulsaciones de teclas, monitorear pantallas, editar contenido del portapapeles, entre otras funciones.

El análisis del implante continúa, pero Kaspersky ha afirmado con un alto grado de confianza que el código de la puerta trasera DRBControl (también conocida como Clambling) fue utilizado para su desarrollo, y se reporta que DRBControl fue creado por APT27. Dado que el malware utilizado en la campaña EastWind es similar a las variantes empleadas por APT27 y APT29, Kaspersky sugiere que esto “demuestra claramente” cómo los actores estatales patrocinados por China “a menudo colaboran, compartiendo activamente conocimientos y herramientas”.

A pesar de que China y Rusia suelen actuar como aliados y respaldan las aspiraciones políticas y militares del otro, las disputas en el ámbito de la información indican que en ese terreno no existen verdaderas alianzas.

  • ciberseguridad
  • malware
  • espionaje
Autoridades estadounidenses emiten alerta sobre el ransomware RansomHub.
|